avantika77/Linux-Log-Investigation-Ubuntu

GitHub: avantika77/Linux-Log-Investigation-Ubuntu

该项目展示了在 Ubuntu 环境中使用 Linux 原生工具进行认证日志分析、时间线重建和证据保全的完整数字取证调查实践。

Stars: 0 | Forks: 0

# Linux 日志调查 (Ubuntu) ## 概述 本项目展示了一个在 **Ubuntu 虚拟机** 上执行的 Linux 数字取证调查。调查重点在于分析认证日志、系统日志、用户活动、管理操作以及保全取证证据。 目标是识别与安全相关的事件,重建事件时间线,并使用行业标准的 DFIR 实践来记录调查过程。 ## 目标 - 收集 Linux 系统信息 - 分析认证日志 - 调查用户登录活动 - 检查 sudo 权限使用情况 - 审查 CRON 计划任务 - 分析系统日志 - 重建事件时间线 - 保全取证证据 - 使用 SHA-256 哈希校验证据完整性 # 实验环境 | 组件 | 详情 | |------------|---------| | 操作系统 | Ubuntu | | 虚拟化 | Oracle VirtualBox | | 调查类型 | Linux 日志调查 | | 主日志 | `/var/log/auth.log` | | Shell | Bash | | 哈希算法 | SHA-256 | # 使用的工具 - Ubuntu 终端 - grep - cat - tail - last - who - awk - sha256sum - Oracle VirtualBox # 调查工作流 ``` Environment Setup │ ▼ Evidence Collection │ ▼ Authentication Log Analysis │ ▼ Timeline Reconstruction │ ▼ Evidence Preservation │ ▼ Reporting ``` # 调查步骤 ## 步骤 1 – 环境设置 收集了以下系统信息: - 主机名 - 当前用户 - Ubuntu 版本 - 内核版本 - 调查日期与时间 ## 步骤 2 – 日志目录分析 检查了 Linux 日志目录: ``` /var/log ``` 识别出的重要日志文件: - auth.log - syslog - dpkg.log - kern.log ## 步骤 3 – 认证日志分析 调查了: ``` /var/log/auth.log ``` 分析了: - 用户登录事件 - 认证尝试 - sudo 活动 - CRON 会话 ## 步骤 4 – 认证事件调查 使用 Linux 命令行工具过滤了与安全相关的事件。 调查了: - 失败的认证尝试 - 成功的认证 - sudo 命令执行 - 登录活动 - CRON 任务 ## 步骤 5 – 时间线重建 创建了包含以下内容的认证时间线: - 登录事件 - 失败的认证尝试 - sudo 执行 - CRON 活动 ## 步骤 6 – 用户调查 审查了: - 本地用户账户 - 活跃用户 - 登录历史 - 用户权限 ## 步骤 7 – 系统日志分析 审查了: - syslog - 内核日志 - 软件包安装历史 ## 步骤 8 – 证据保全 通过生成 SHA-256 哈希值收集了取证工件并保全了证据以确保其完整性。 # 收集的证据 ``` evidence/ │ ├── logs/ ├── timeline/ ├── system_info/ └── evidence_hashes.txt ``` # 关键发现 - 成功收集了 Linux 取证证据。 - 已分析认证日志。 - 识别出正常的登录活动。 - CRON 任务已成功执行。 - 观察到一次失败的 sudo 认证尝试。 - 已验证管理命令的执行。 - 未发现未经授权的用户账户。 - 已使用 SHA-256 哈希校验证据完整性。 # 使用的命令 调查期间使用的命令示例: ``` hostname whoami uname -r cat /etc/os-release cd /var/log ls -lh sudo tail -20 auth.log grep "authentication failure" /var/log/auth.log grep "COMMAND=" /var/log/auth.log grep "CRON" /var/log/auth.log cat /etc/passwd who last tail -30 /var/log/syslog tail -30 /var/log/kern.log sha256sum evidence/logs/* ``` # 展示的技能 - Linux 管理 - Linux 日志分析 - 数字取证 - 应急响应 - 认证分析 - 时间线重建 - 证据保全 - SHA-256 哈希校验 - 技术文档 # 仓库结构 ``` Linux-Log-Investigation-Ubuntu/ │ ├── README.md ├── LICENSE ├── .gitignore │ ├── report/ ├── evidence/ ├── screenshots/ └── commands/ ``` # 截图 本仓库包含以下演示截图: - 环境设置 - Linux 日志目录 - 认证日志分析 - 认证事件 - 时间线重建 - 用户调查 - 系统日志分析 - 证据收集 - SHA-256 校验 # 未来改进 - 使用 Bash 脚本自动化日志解析 - 集成 Splunk SIEM - 调查 Windows 事件日志 - 使用 Volatility 执行内存取证 - 开发自动化取证报告 # 作者 **Avantika Shrivastava** 数字取证爱好者 ## 许可证 本项目基于 MIT 许可证授权。
标签:Linux运维, 事件时间线重构, 库, 应急响应, 应用安全, 数字取证, 自动化脚本, 证据保全